Jede professionelle Analyse muss nach einer wohldefinierten Methodik erfolgen, damit die Resultate nachvollziehbar und reproduzierbar sowie Fehler und Manipulationen ausgeschlossen sind. So werden beispielsweise alle Daten mit Hash-Werten versehen, anhand derer auch zu einem späteren Zeitpunkt nachvollzogen werden kann, dass bei der Datensammlung und -analyse nichts verändert wurde.

Zunächst gilt es jedoch, alle relevanten Daten zu sichern. Neben Informationen wie offenen Netzverbindungen und Prozesslisten sichert man bei einer forensischen Analyse stets ein so genanntes Bitstream-Image. Dabei handelt es sich um eine bitgenaue 1:1-Kopie des kompromittierten Systems. Ein einfaches Datei-Backup genügt hier nicht, da auf diesem keine Spuren von gelöschten Dateien mehr zu finden sind. So ist es mit dem herkömmlichen Datei-Backup beispielsweise nicht möglich, vorhandene Reste von bereits überschriebenen Dateien zu retten.

Zur Erzeugung eines Bitstream Image gibt es diverse kommerzielle Software auf dem Markt. Internationale Ermittlungsbehörden nutzen zum Beispiel häufig Safeback. Eine flexible und kostensparende Lösung stellt der Einsatz des Open-Source-Tools "dd" dar, das Bestandteil jeder Unix-Distribution ist. Eine weitere Alternative ist die speziell für den Bereich Forensik angepasste dd-Variante für Windows-Systeme. (Diese ist Bestandteil der frei verfügbaren "Forensic Acquisition Utilities")

Nur an einer Kopie arbeiten

Sobald alle relevanten Daten des kompromittierten Systems gesichert sind und auf einer Analyse-Workstation zur Verfügung stehen, beginnt die Analyse. Bei der Untersuchung kommen ausschließlich Kopien der gesicherten Beweise zum Einsatz. Auch zur Datenanalyse gibt es eine Reihe von Software-Varianten. Neben kommerziellen Produkten steht forensischen Analyseexperten seit 1998 auch frei erhältliche Software zur Verfügung, zum Beispiel "The Coroner''s Toolkit" (TCT). Mit TASK (The @stake Sleuth Kit) wurde TCT von Brian Carrier weiterentwickelt und ergänzt. Das Tool "Autopsy" kann als grafische Oberfläche zur Bedienung von TASK eingesetzt werden. Ein Webbrowser ermöglicht dem Anwender, das komplette Dateisystem eines kompromittierten Computers übersichtlich und systematisch zu untersuchen. Als Betriebssystem für eine Analyse-Workstation bietet sich Linux an, da dieses Treiberunterstützung für verschiedene Dateisysteme bietet.

Einen besonders wichtigen Aspekt der Analysetätigkeiten stellt die Zeitablauf-Analyse dar. Sie erlaubt die Beantwortung der wichtigsten Fragen nach einem Systemangriff: Wann wurden welche Dateien erschaffen, ausgeführt und geändert? TASK ermöglicht dies mit dem Tool "mactime", das eine chronologische Liste der Zugriffszeiten aller Dateien im Dateibaum des Zielsystems erstellt. Die Zugriffszeiten können nicht nur für reguläre Dateien und Verzeichnisse erzeugt werden, sondern auch für kürzlich gelöschte Dateien.

Zeitablauf nachvollziehen

Die Zeitablaufliste liefert wertvolle Hinweise auf die Aktivitäten des Angreifers im System. Darüber hinaus kann unter Umständen eine genauere Zeitabgrenzung des Vorfalls vorgenommen werden.

Häufig löschen Angreifer Log-Dateien, spielen Rootkits auf oder ersetzen beispielsweise Schlüsselprogramme. Ein Analyst versucht dann, die gelöschten Dateien wiederherzustellen, und erhält so einen Einblick in die Aktionen des Angreifers. Der Erfolg der Datenrettung ist abhängig vom Kenntnisstand des Angreifers und von der Zeit, die seit dem Angriff vergangen ist. Am einfachsten ist eine Datenrettung wiederum mit Hilfe des Browser-basierenden Tools "Autopsy", dieses liefert eine Zusammenfassung aller kürzlich gelöschten Dateien auf einen Blick.

Auf der Gegenseite arbeiten Hacker daran, sich dem Zugriff durch die forensische Analyse zu entziehen. Die aktuell bedeutendste Entwicklung ist Folgende: Angreifer erarbeiten gezielt Tools, die eine herkömmliche forensische Analyse erschweren. Diese Tools überschreiben systematisch gelöschte Verzeichniseinträge und Datenblöcke, was eine erfolgreiche Datenrettung verhindert.

Die gegenwärtig zur Verfügung stehenden Open-Source-Tools unterstützen Anwender bei der systematischen forensischen Analyse. Grundlage dafür ist aber noch immer das Verständnis der untersuchten Betriebs- und Dateisysteme. Ohne die nötigen Kenntnisse der Systeme schlägt auch eine Analyse mit Hilfe kommerzieller Programme fehl. Eingearbeitete Fachkräfte sind gefragt. (sra)

* Bernhard Schneck ist Gesellschafter und technischer Geschäftsführer der Genua mbH in Kirchheim bei München.

Typischer Ablauf

08.10.01, 8.00 Uhr morgens: Anruf eines Kunden. Sein ungeschützt vor der Firewall positioniertes Serversystem erzeugt zahlreiche Fehlermeldungen. Die Host-Monitoring-Software alarmiert den Administrator.

08.10.01, 9.30 Uhr: Eine kurze Analyse ergibt, dass das gesamte Log-Verzeichnis gelöscht wurde. Die Spiegelplatte des Systems wird sofort gesichert.

08.10.01, 14.00 Uhr: Die Festplatte wird im Labor kopiert, anschließend im Tresor gesichert. Die forensische Analyse beginnt.

09.10.01, 10.30 Uhr: Teile der Logdateien konnten sichergestellt werden. Die IP-Adresse des Angreifers ist bekannt. Ein neu installiertes IDS zeichnet alle weiteren Schritte des Angreifers auf.

10.10.01, 18.00 Uhr: Die Analyse ist abgeschlossen. Die Aktionen des Angreifers konnten rekonstruiert werden:

- Der Angreifer erlangte root-Rechte (via telnet-Exploits).

- Er löschte das gesamte Log-Verzeichnis.

- Eine Stunde später attackiert er fünf weitere Netzwerke.

- Durch gerettete History-Dateien wurden alle Kommandos des Angreifers nachvollzogen.

11.10.01: Die Zielmaschine wird neu installiert und gezielt mit den neuesten Patches versehen.